Optimum

Platform

HackTheBox

O.S

Windows

Level

Easy

Skills

Metasploit

Web Application

Windows Basics

Fase 1: Reconocimiento

Para empezar vamos a obtener información sobre el sistema operativo; protocolos y puertos abiertos que pueda tener la máquina objetivo.

En mi caso recomiendo usar nmap, ya que es una herramienta bastante completa y que nos permite usar opciones bastante interesantes y avanzadas.

sudo nmap -sS --min-rate 5000 -p- --open -n -Pn -v 10.10.10.8 -oN target

Perfecto. Observamos que el puerto TCP 80 está abierto, asociado con el protocolo HTTP. Antes de acceder al sitio web, realizaremos un escaneo más detallado de este puerto. Esta acción puede proporcionarnos información valiosa, como versiones de software, tecnologías empleadas en el servidor y otros detalles relevantes para una auditoría exhaustiva.

sudo nmap -sCV -p80 10.10.10.8 -oN ports

Podemos observar que se encuentra corriendo HttpFileServer versión 2.3, lo cual es información valiosa a la hora de explotar un servicio web, ya que se nos ha proporcionado la versión del servicio.

Luego de toquetear un poco la web mediante el navegador me he dado cuenta de que no había nada interesante más allá de lo que nos ha mostrado ya nuestro segundo escaneo con nmap.

Lo primero que haré será buscar en internet información sobre el servicio y su versión, mientras intento identificar alguna vulnerabilidad pública asociada.

Parece que este servicio es vulnerable a ejecución remota de comandos, una falla crítica que, si se explota correctamente, podría comprometer por completo el sistema.

Fase 2: Explotación

Antes de probar cualquier exploit público de internet, mi recomendación personal es usar herramientas conocidas como Metasploit para ver si hay suerte y así nos evitamos riesgos de descargar exploits que quizás, para nuestro nivel, aún no entendemos del todo bien y que podrían comprometer nuestro sistema.

Bingo!

Al parecer existe un exploit asociado al servicio y que coincide la fecha con la CVE encontrada en internet. Vamos a comprobarlo!

Configuraciones necesarias del exploit:

LPORT
LHOST
RHOSTS

Probamos suerte y...

Hemos obtenido un Meterpreter con el usuario de sistema Kostas y podemos ver la flag del user!

Fase 3: Escalada de privilegios

Una vez dentro de la máquina con un usuario no privilegiado, revisé el script hfs.exe ubicado en el directorio home del usuario. También verifiqué los privilegios asociados a mi usuario, kostas, entre otras configuraciones, pero no encontré nada de valor por el momento.

Permisos irrelevantes...

Análisis básico del contenido del script en mi máquina Kali sin ver nada en especial que pudiera aportar...

Decido entonces recurrir a un script muy conocido en la comunidad para la escalada de privilegios, PEASS. Para utilizarlo, vamos a su página oficial y descargamos el script para sistemas Windows (WinPEASS)

Release Release refs/heads/master 20250124-6ec1269f · peass-ng/PEASS-ngGitHub

Y procedemos a pasarlo a la máquina objetivo. En mi caso he decidido transferirlo mediante una carpeta compartida en un servidor SMB en red, el cual Impacket me permite crear de forma sencilla.

Luego de que se encuentre la carpeta montada en el servidor SMB, procedemos a copiarlo desde la máquina víctima como si fuera una simple ruta en la red.

Para quienes no están familiarizados con los scripts PEASS (Privilege Escalation Awesome Scripts Suite), se trata de una colección de herramientas diseñadas para detectar vulnerabilidades explotables en la escalada de privilegios. Estos scripts automatizan la búsqueda de configuraciones incorrectas, permisos mal asignados, credenciales almacenadas de forma insegura y otros posibles vectores de escalación.

Tras analizar la información proporcionada por este poderoso script, detecto un dato particularmente interesante: ha revelado la contraseña de mi usuario actual. Esto ocurre porque la cuenta está configurada como Autologon en el sistema, lo que significa que las credenciales se almacenan en el registro de Windows. Gracias a la eficacia de WinPEAS, ha sido posible recuperar estas credenciales en texto plano directamente desde el registro.

Pero para escalar a root esta información de poco sirve. Así que después de pensar un rato, he recordado que existen scripts de escalada de privilegios en Metasploit también y que, al esta máquina haber sido explotada gracias a este framework, era posible de que la escalada estuviera ligada e este también.

Empiezo poniendo la sesión de Meterpreter en segundo plano para comenzar la búsqueda de algún script que pudiera ser de utilidad para llegar a ser root.

Realizo una búsqueda que hace referencia a exploits que tengan algo que ver con explotación local de Windows.

Después de mucho tiempo leyendo, probando y volviendo a probar algunos de los exploits que más se ajustaran a la idea de lo que deseaba hacer, he dado con el siguiente:

El cual solo requería de:

ID de sesión anterior.
LHOST.
LPORT.

Luego de probar, para mi sorpresa, ha funcionado perfectamente!

Digo “para mi sorpresa”, debido a que su rank era “normal”, lo cual no da mucha confianza de primeras.

Comprobamos que somos el usuario privilegiado, en el caso de Windows el user con más privilegios (el root de Linux), es conocido como NT AUTHORITY SYSTEM.

Vamos al Desktop del usuario administrador y obtenemos la flag de root.

PreviousMonteverde NextQuerier

Last updated 1 month ago